Кибергруппа Angry Likho готовит новую серию целевых атак, которые стартовали как минимум с 16 января 2025 года. Исследователи выявили образцы, способные похищать конфиденциальную информацию с помощью стилеров, а также предоставлять удаленный доступ к заражённым устройствам через специальные утилиты.
Основными целями атак являются сотрудники крупных организаций в России и Белоруссии, включая государственные структуры и их подрядчиков.
Согласно телеметрии «Лаборатории Касперского», деятельность Angry Likho прослеживается как минимум с 2023 года. Группа действует волнообразно: периодически приостанавливает атаки, затем возобновляет их, внося незначительные изменения в тактику.
В рамках последней кампании были обнаружены десятки вредоносных имплантов, а также новые командные серверы.
Злоумышленники используют фишинговые письма, содержащие самораспаковывающиеся архивы, подготовленные под конкретных пользователей. Большинство таких файлов имеют русскоязычные названия и включают документы-приманки, тематика которых связана преимущественно с государственными учреждениями России.
Если пользователь открывает вложенный файл, на его устройство загружается инфостилер Lumma. Он собирает обширный объём данных, включая банковские реквизиты из браузеров, файлы криптокошельков, информацию о системе и установленных программах, файлы cookie, учётные данные пользователей, пароли, номера банковских карт и сведения из журнала подключений.
Эксперты отмечают, что Angry Likho использует доступные на специализированных форумах в даркнете инструменты, разрабатывая самостоятельно лишь механизмы доставки и целевой рассылки имплантов. Несмотря на минимальные изменения в тактике, злоумышленникам удается достигать своих целей.
Продукты «Лаборатории Касперского» детектируют такие угрозы под следующими сигнатурами: HEUR:Trojan.MSIL.Agent.pef, HEUR:Trojan.Win32.Generic.
